esp@cenet - Document Bibliography and Ab...on chip cardv^rwj^pe^^ 1&CURDRAW=0&DB=EPD&ABSFLG=%05&DRDB= : US1 




Multiple application chip card with decoupled programs 



Patent Number: 

Publication date: 
Inventor(s): 
Applicants- 
Requested Patent: 

Application Number: 
Priority Number(s): 
IPC Classification: 
EC Classification: 
Equivalents: 



J US5912453 
1999-06-15 

DAO TRONG SON (DE); GUNGL KLAUS (DE) 
IBM (US) 

□ EP0766211 , A3 

US1 99607201 62 19960925 
DE1 9951 0361 69 19950929 
G06K19/00 

G06K1 9/073 , G07F7/10D10M2 

□ DE19536169 , □ JP9223200 



Abstract 



The integration of multiple application programs on one chip card is described, whereby the application programs stored on it 
do not have access to each other, which is achieved through a separation and de-coupling of the individual programs from 
one another. A first embodiment has several mutually-independent units, consisting respectively of a processor unit and a 
memory unit. Communication of these independent units with the external world and also with each other takes place 
through a control unit. A communication of the independent units with each other can only take place through the respective 
processor units, so that the linked memory units may not be accessed by circumvention of the processor unit. In a further 
embodiment, the separation of different applications on a chip card with only one processor takes place through the insertion 
of a separation of the application segments in the memory area of the chip card. The separation has as a result that each 
application may only access one predetermined area within the memory, and that access outside of the specified memory 
area is disabled for this application. 
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(54) Multifunktionale Chipkarte 

(57) Beschrieben wird die Integration mehrerer 
Anwendungsprogramme auf einer Chipkarte, ohne daB 
die darauf gespeicherten Anwendungsprogramme 
Zugr'rff aufeinander haben, was durch eine Trennung 
und Entkopplung der einzeinen Programme untereinan- 
der erreicht wird. 

Eine erste AusfQhrungsform weist mehrere zuein- 
ander unabhangige Einheiten, bestehend jeweils aus 
einer Prozessor-Einheit und einer Speichereinheit, auf. 
Eine Kommunikation dieser unabhSngigen Einheiten 
mit der AuBenweK und auch untereinander erfolgt uber 
eine Steuereinheit. Eine Kommunikation der unabhSn- 
gigen Einheiten untereinander kann nur Qber die jewei- 
ligen Prozessor-Einheiten erfolgen, so daB auf die 



angeschlossenen Speichereinheiten nicht unter Umge- 
hung der entsprechenden Prozessor-Einheit zugegrrf- 
fen werden kann. 

In einer weiteren AusfQhrungsform erfolgt die Tren- 
nung unterschiedlicher Anwendungen auf einer Chip- 
karte mit nur einem Prozessor durch die Einfugung 
einer Separation der Anwendungsteile im Speicherbe- 
reich der Chipharte. Die Separation bewirkt, daB jede 
Anwendung nur auf einen festlegbaren Bereich inner- 
halb des Speichers zugreifen kann, und daB Zugriffe 
auBerhalb des vorgegebenen Speicherbereiches fur 
diese Anwendung unterbunden werden. 




LU 



Printed by Rank Xerox (UK) Business Services 
2.13.17/3.4 



EP 0 766 211 A2 



• 



Beschreibung 

Gebiet der Erf indunci 

Die Erfindung betrifft die integration mehrerer 
Anwendungen auf einer Chipkarte. 

Stand der Technik 

Als Datentragerkarten oder Chipkarten werden 
heute tragbare Karten, zumeist in etwa in Scheckkar- 
tenformat und vorzugsweise aus Kunststoff oder Metall, 
mit einem darin integrierten elektronischen Chip, 
bezeichnet. Man unterscheidet zwischen eirrfachen 
Speicherkarten (die als Memory Chip-Cards oder 
Memory-Cards bekannt sind) und inteliigenten Daten- 
tragerkarten (auch muitrfunktionate Chipkarten, oder 
Smart-Cards genannt), die neben einem Speicherbe- 
reich einen eigenen Prozessor zur Kontrolle der auf 
dem Chip der Datentragerkarte gespeicherten Daten. 
Dies erlaubt einen besseren Schutz der Daten und fQhrt 
zu einer verbesserten FunkBonalitat der Chipkarten, 
Einfache Speicherkarten erlauben im aligemeinen nur 
ein Schreiben und Lesen der Daten. Inteiligente Daten- 
tragerkarten verfugen daruber hinaus noch uber Funk- 
tionen zur Strukturierung der Daten, zur Lokalisierung 
der Daten, zur Verwaitung der Daten und zum Schutz 
der Daten. 

Typischerweise enthatt eine Chipkarte einen Chip, 
auf dem ein Mikroprozessor und ein Speicher integriert 
sind. Der Speicher ist weiterhin in eine Vielzahl einzel- 
ner Bereiche aufgeteirt, die je nach Funktion unter- 
schiediich implementiert werden. 

Als einen ersten Speicherbereich enthait die Chip- 
karte einen nicht-flOchtigen und nicht-beschreibbaren 
Speicher, der zumeist als ein ROM (Read Only 
Memory) ausgepragt ist und im weiteren auch als ROM 
bezeichnet werden soli. Das ROM enthait im aligemei- 
nen das Betriebssystem der Chipkarte. Weiterhin wer- 
den im ROM Programme gespeichert, die allgemeine 
Funktionen haben, wie z. B. einen Datenstrom umwan- 
deln, kodieren oder zur DurchfOhrung einer Ein-/Aus- 
gabe mit einem Automaten (z. B. mittels eines 
'Handshake*- Verfahrens mit einem Geidautomaten) vor- 
gesehen sind. 

Als einen weiteren Speicherbereich weist die Chip- 
karte einen nicht-fluchtigen, beschreibbaren Speicher 
auf, der im aligemeinen als EE PROM (Electrical Erase- 
able Programmable Read Only Memory) oder als 
EPROM (Electrical Programmable ROM) oder als 
OT/PROM (One Time PROM) ausgepragt ist. Der Ein- 
fachheit halber soil im folgenden der nicht-flQchtige 
beschreibbare Speicher als EEPROM bezeichnet wer- 
den, ohne daB damit eine Beschrankung der nicht- 
fluchtigen beschreibbaren Speicher nur auf EEPROMs 
gemeint ist. In dem EEPROM werden im aligemeinen 
Anwendungsprogramme fur Anwendungen mit der 
Chipkarte gespeichert. 

SchlieBlich weist die Chipkarte im aligemeinen 



noch einen flQchtigen, beschreibbaren Speicher auf, 
der mast als RAM (Random Access Memory) ausge- 
pragt ist und im folgenden als RAM bezeichnet werden 
soli. Der RAM dient als Arbeitsspeicher fur den Mikro- 

5 prozessor der Chipkarte, insbesondere zur Zwischen- 
speicherung von Daten. 

Das Funktionsprinzip der Chipkarte soli am Bei- 
spiel einer Bargeld-Chipkarte eriautert werden. Nach 
EinfQhren der Chipkarte in einen Geidautomaten wird 

10 der Mikroprozessor der Chipkarte uber die Chipkarten- 
kontakte an den Automaten angeschlossen und in 
Betrieb genommen. Fur den Datenaustausch ('Hand- 
shaking') schickt die Chipkarte in einem ersten Schritt 
eine Zufallszahl an den Automaten. Der Automat ver- 
ts schlusselt in einem zweiten Schritt diese Zufallszahl 
und schickt sie als chiffrierte Zahl an die Chipkarte 
zurQck. In einem dritten Schritt dechiffriert die Chipkarte 
die empfangene Zahl mit Hilfe eines Schlussels und 
vergieicht das empfangene Ergebnis mit einem vorbe- 

20 rechneten Ergebnis. Die Zufallszahl sowie die dechif- 
frierten Berechnungen sind hierfOr im Arbeitsspeicher 
der Chipkarte (RAM) gespeichert. Der Chiffrierschlus- 
sel hingegen ist im ROM abgelegt, da dieser SchlOssel 
besonders geschGlzt werden muB, urn Manipulationen 

25 zu vermeiden. 

In einem vierten Schritt schickt der Automat eine 
Zufallszahl an die Chipkarte, die die Chipkarte wie- 
derum in einem funften Schritt chiffriert und an den 
Automaten zuruckschickt Die Dechiffrierung auf der 

30 Automatenseite erfolgt in einem sechsten Schritt ahn- 
lich dem im dritten Schritt. Ist der Vorgang bis an diese 
Stelle erfolgreich abgelaufen, sirxJ die Chipkarte und 
der Automat bereit fur einen Datenaustausch, wobei der 
Datenaustausch im aligemeinen mit verschlOssetten 

35 Daten erfolgt. HierfOr wird ein entsprechendes, in der 
Chipkarte gespeichertes, Anwendungsprogramm auf- 
gerufen. Als Anwendung soli hier in diesem Beispiel ein 
Geldnachladen mit einer bestimmten Summe durchge- 
fuhrt werden. Der Automat erfragt hierfOr von der Chip- 

40 karte, welche Anwendung durchgefuhrt werden soli, 
und die Chipkarte antwortet hierauf: "Geld nachladen". 
Weiterhin erfragt der Automat die Summe, die nachge- 
laden werden soil und erhait als Antwort von der Chip- 
karte den gewunschten Betrag genannt. An dieser 

45 Stelle wird von dem Anwendungsprogramm auf der 
Chipkarte ein Befehl ausgegeben, einen entsprechen- 
den Bereich in dem EEPROM mit der gewOnschten 
Bargeldsumme neu zu beschreiben. 

An diesem Beispiel wird deutlich. daB das Anwen- 

so dungsprogramm nach seinem Aufruf die 'Gewaft' Ober 
die Chipkarte, also auch Ober die auf der Chipkarte 
gespeicherten Daten, Obernimmt. Bislang wird auf jeder 
Chipkarte jeweils nur eine Anwendung implementiert. 
Sollen jedoch mehrere Anwendungsprogramme auf 
55 einer Chipkarte geladen werden, muB fur solche 
Anwendungen, die sensitive Daten beinhalten, ein 
Schutz gewahrleistet werden, damit weder diese sensi- 
tive Daten, noch eventuell das gesamte Anwendungs- 
programm, ausgelesen werden kann. Die Problematik 
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bei der Verwendung von Chipkarten mit mehreren 
Anwendungsprogrammen (den sogenannten Multi- 
funktions- oder multifunktionalen Chipkarten) ist. daB 
dem Betreiber einer Anwendung (z. B. eine Bank) ein 
Zugang zu dem Anwendungsprogramm eingeraumt 
werden muB. Hat er jedoch uber das Anwendungspro- 
gramm erst einmal Zugang zu der Chipkarte erhalten, 
und wird ihm somit mittels des Anwendungsprogram- 
mes die Verfugungsgewatt uber die Chipkarte erlaubt, 
kann er sich auf der Chipkarte "frei bewegen". Er kann, 
wenn er die Absicht dazu hat, sein Anwendungspro- 
gramm so schreiben, daB das Programm neben der 
gedachten Funktion auch andere Aktivitaten ausuben 
kann, ohne daB der Eigentumer oder Benutzer der 
Chipkarte es merkt, bzw. merken kann. Dabei kann der 
Betreiber des Anwendungsprogrammes auch Geheim- 
nisse von anderen Anwendungsprogrammen heraus 
bekommen, wie z. B. GeheimschlQssel oder Art und 
Umfang der Aktivitaten der anderen Anwendungspro- 
gramme. Umgekehrt kann ein anderer Betreiber eines 
anderen Anwendungsprogrammes oder einer, der sich 
als solcher ausgibt, in die Geheimnisse anderer Anwen- 
dungen hineinschauen und seine Anwendung entspre- 
chend modifizieren, z. B. durch die Kenntnis der 
Funktionsweise einer Bargeldanwendung Geld miB- 
brauchlich auf die Karte zu laden. 

Ausdem IBM Technical Disclosure Bulletin, Vol. 32, 
Nr. 5a, Oklober 1989, S. 416-417, im folgenden TDB- 
Dokument genannt - ist ein Speicherschutz fur Chipkar- 
ten bekannt. Der Speicher der Chipkarte ist hierfOr 
unterteilt in einen geschutzten und einen ungeschutz- 
ten Bereich, wobei sich in dem geschutzten Bereich das 
Betriebssystem und spezielle Schlussel bef inden, wah- 
rend in dem ungeschutzten Bereich eine Reihe von 
Anwendungsprogrammen abgelegt werden kOnnen. 
Der Speicher wird uberwacht von einer AdreB-Deko- 
diereinheit. Die AdreB-Dekodiereinheit gibt ein "Wahr"- 
Signal aus, wenn die Adresse auf dem AdreBbus sich 
innerhalb des uberwachten Bereiches befindet. Wenn 
das Anwendungsprogramm versucht, den Zugang zu 
dem geschutzten Speicherbereich zu erlangen, erkennt 
dies die AdreB-Dekodiereinheit und gibt ein nicht-mas- 
kierbares Unterbrechungssignal an den Mikroprozes- 
sor. Der Mikroprozessor lOscht daraufhin unmitteibar 
die in dem Register geladenen Daten. Auf den 
geschutzten Bereich des Speichers kann damit nur das 
Betriebssystem selbst zugreifen. Anwendungspro- 
gramme haben damit keinen Zugriff auf die in dem 
geschutzten Speicherbereich abgelegten Schlussel und 
das Betriebssystem. Problematisch an dieser LOsung 
ist jedoch, daB lediglich das Betriebssystem bzw. spezi- 
elle zu schQtzende Daten ,wie Schlussel, gegen uner- 
laubte Zugriffe der Anwendungsprogramme auf der 
Chipkarte geschutzt werden kOnnen. Untereinander 
kOnnen die Anwendungsprogramme jedoch vCllig unge- 
stOrt aufeinander zugreifen, so daB keinerlei gegenseiti- 
ger Schutz besteht. 



Zusammenfassuna der Erf induna 

Es ist Aufgabe der Erf indung die Integration mehre- 
rer Anwendungsprogramme auf einer Chipkarte zu 

5 ermOglichen, ohne daB die auf der Chipkarte gespei- 
cherten Anwendungsprogramme Zugriff aufeinander 
haben. Die Aufgabe der Erfindung wird durch die unab- 
hangigen AnsprQche gelOst. 

ErfindungsgemaB erfolgt eine Integration mehrerer 

10 Anwendungsprogramme auf einer Chip-Karte durch 
eine Trennung und Entkopplung der einzelnen Pro- 
gramme untereinander. 

In einer ersten AusfQhrungsform erfolgt eine Inte- 
gration von mehreren zueinander unabhangigen Ein- 

15 heiten bestehend jeweils aus einer Prozessor-Einheit 
und einer Speichereinhert. Jede dieser unabhangigen 
Einheiten entspricht im wesentlichen in Aulbau und 
Funktion dem Chip einer herkOmmlichen Chipkarte mit 
dem entsprechenden Sicherherts- und VerschlOsse- 

20 lungssystem. Eine Kommunikation dieser unabhangi- 
gen Einheiten mit der AuBenwelt und eventueil auch 
untereinander auf der Chipkarte erfolgt Ober eine Steu- 
ereinheit, die die einzelnen unabhangigen Einheiten 
Verwaltet*. Eine Kommunikation der unabhangigen Ein- 

25 heiten untereinander kann nur uber die jeweiligen Pro- 
zessor-Einheiten erfoigen, so daB auf die 
angeschlossenen Speichereinheiten nicht unter Umge- 
hung der entsprechenden Prozessor-Einheit zugegrif- 
fen werden kann. 

30 Die Integration mehrerer unabhangiger Einheiten 
auf der Chipkarte entsprechend der ersten Ausfuh- 
rungsform erlaubt ein einfaches und sicheres Neben- 
einander von mehreren Anwendungen, ohne daB diese 
sich gegenseitig beeinflussen kOnnen oder einen unbe- 

35 rechtigten Zugriff aufeinander durchfuhren kOnnen. 
Eine Chipkarte mit beispielsweise vier unabhangigen 
Einheiten laBt so mindestens vier unabhangige Anwen- 
dungen mit ein und derselben physischen Chipkarte bei 
Gewahrleistung hOchstmOglicher Sicherheit zu. 

40 Da die Prozessoren fur jede der unabhangigen Ein- 
heiten gleich ausgeprdgt sein kOnnen, und auch im all- 
gemeinen keine Informationen oder Geheimnisse 
enthalten und lediglich die entsprechenden Speicherbe- 
reiche fur jede Anwendung unterschiedlich sind und 

45 eventueil Geheiminformationen enthalten, ware eine 
Integration der Prozessoren der unabhangigen Einhei- 
ten wunschenswert. Auch wurde eine Integration der 
Prozessoren zu einem einzigen Prozessor auf der Chip- 
karte eine deutliche Reduzierung der Kosten und des 

so Platzbedarfes auf den Chips bedeuten, da der Prozes- 
sorteil im allgemeinen mehr Fiache auf dem Chip als 
der Speicherteil benOtigt. Jedoch fQhrt eine solche Inte- 
gration wieder in die gleiche Problematik wie eingangs 
geschildert, daB eine EinfluBmOglichkeit und ein unbe- 

55 rechtigter Zugriff der Anwendungen untereinander 
sichergestellt werden muB. 

ErfindungsgemaB erfolgt die Trennung unterschied- 
licher Anwendungen auf einer Chipkarte mit einem Pro- 
zessor durch die EinfQgung einer, vorzugsweise 
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hardware-gestutzten, Separation der Anwendungsteile 
im Speicherbereich der Chipkarte. Die Separation 
bewirkt, daB jede Anwendung nur auf einen festlegba- 
ren Bereich innerhalb des Speichers zugreifen kann, 
und daB Zugriffe auBerhalb des vorgegebenen Spei- 
cherbereiches fur diese Anwendung unterbunden wer- 
den. Vorzugsweise wird der vorgebbare Zugriffsbereich 
einer Anwendung auf den fur die Speicherung dieser 
Anwendung bendtigten Speicherbereich, erganzt durch 
einen eventuellen Pufferspeicherbereich, festgelegt. 
Weiterhin kann der Zugriff auf Bereiche des Speichers 
ermCglicht werden, die allgemein zugangliche Daten 
Oder Betriebssystemdaten enthalten, z.B. damit allge- 
meine Funktionen vom Betriebssystem der Chipkarte 
verwendet werden durfen. 

Bei einem Zugriff einer Anwendung auf einen Spei- 
cherbereich auBerhalb des fur die Anwendung zuiassi- 
gen Speicherbereiches, erfolgt, vorzugsweise ein nicht 
maskierbares (non-maskable interrupt), Unterbre- 
chungssignal, das dann z.B. zu einer Sperrung der 
Chipkarte Oder zu einem RQcksetzen der Anwendung, 
d.h. die Anwendung steht erneut vor dem ersten Schritt 
im 'handshaking' mit der Sendung der Zufallszahl, fuh- 
ren kann. In einem anderen ProzeB kann ein Speicher- 
bereich (z.B. in dem EPROM) vorgesehen werden, 
worin vermerkt wird, welche Anwendung versucht hatte 
auf Adressen auBerhalb des fur sie vorgesehenen 
Bereiches zuzugreifen. Dieser Bereich kann dann 
abgefragt werden, so daB eine Sicherhertsprufung der 
Anwendungen ermOglicht wird. Anstelle der nicht mas- 
kierbaren Unterbrechung kann auch der Speicherbe- 
reich auBerhalb des fur die Anwendung vorgesehenen 
Bereiches gesperrt werden, so daB ein Zugriff hierauf 
nicht erfolgreich ist und z.B. nur eine Nullen- Oder Ein- 
sen-Kette zurQcWiefert 

Vorzugsweise erfolgt die Separation der Anwen- 
dungen mit Hilfe einer erfindungsgemSBen Anwen- 
dungstabelle. Die Anwendungstabelle speichert den 
Anfang und das Ende des Speicherbereiches. in dem 
eine jeweilige Anwendung gespeichert ist bzw. abiauft 
Oder ablaufen darf - also Zugriff haben darf. Jede 
Anwendung bekommt den entsprechenden Speicher- 
bereich, vorzugsweise fest, zugeteirt, z.B. beim Pro- 
grammieren der Anwendung. Die Anwendungstabelle 
weist Informationen uber eine Anfangsadresse und eine 
Endadresse einer jeweiligen Anwendung auf. Bei einem 
Aufruf einer jeweiligen Anwendung wird aus der Anwen- 
dungstabelle die Anfangs- und die Endadresse der 
Anwendung in dafQr vorgesehene Anfangs- und Endre- 
gister geladen. Mit Hilfe eines AdreBvergleiches wird 
standig uberwacht, ob die Anwendung den vorgegebe- 
nen Speicherbereich verlassen hat Oder nicht. VeriaBt 
die Anwendung den fur sie durch die Anfangs- und die 
Endadresse zugeordneten Bereich, z.B. indem sie als 
nachste Adresse eine Adresse auBerhalb dieses Berei- 
ches auf einen AdreBbus stellt, wird vorzugsweise ein 
nicht-maskierbares Unterbrechungssignal ausgeldst, 
das das laufende Programm der Anwendung und des- 
sen Ausftihrung unterbricht. Unter einem nicht-maskier- 



baren Unterbrechungssignal versteht man ein von dem 
Anwendungsprogramm nicht abschalt- Oder unterdrQck- 
bares Signal. Somit wird sichergestellt, daB das Anwen- 
dungsprogramm in einer geschlossenen Umgebung 

5 arbeitet, ahnlich der Umgebung auf einer Chipkarte mit 
nur einer Anwendung. 

Im Gegensatz zu dem o.g. TDB-Dokument kdnnen 
in die Anwendungstabelle mehrere Speicherbereiche 
dynamisch eingetragen und somit vor einem unberech- 

w tigten Zugriff geschOtzt werden. Entsprechend dem 
genannten TDB-Dokument muB der zu schQtzende 
Bereich jedoch fest vorgegeben werden und der restli- 
che Speicherbereich, der in sich nicht weiter geschOtzt 
werden kann, bleibt frei zuganglich, so daB Anwendun- 

15 gen in diesem Bereich nicht voneinander getrennt wer- 
den und somit Zugriff aufeinander haben kOnnen. 
Entsprechend der Lehre der Erfindung lassen sich im 
Gegensatz dazu mehrere Speicherbereiche definieren, 
die dynamisch aktiviert werden kOnnen, so daB ein akti- 

20 vierter Bereich frei zuganglich ist, die nicht aktivierten 
Bereiche jedoch geschOtzt bleiben. 

Die Anfangs- und Endregister werden beim Laden 
einer jeweiligen Anwendung mit der entsprechenden 
Anfangs- und Endadresse des zu aktivierenden Spei- 

25 cherbereiches geladen. Der Speicherbereich, in dem 
die Anwendung ablaufen kann, wird so dynamisch fest- 
gelegt. 

Es ist zu verstehen, daB die Anfangs- und End- 
adressen der jeweiligen Speicherbereiche in der 

so Anwendungstabelle so eingeschrieben werden sollten, 
daB eine Umdef inition dieser Adressen durch die, oder 
eine andere, Anwendung nicht mOglich ist. Das Festle- 
gen der Adressen in der Anwendungstabelle erfolgt 
deshalb vorzugsweise durch eine feste Programmie- 

35 rung im Betriebssystem, die zur Ladezeit der Anwen- 
dung die Adressen aus dem Inhalt der belegten 
Anwendungstabelle festlegt. Dieser Vorgang kann auto- 
matisch und anwendungsunabhangig durchgefOhrt 
werden. Aus den belegten Adressen kann die neue 

40 Anfangs-Adresse berechnet werden. Die End-Adresse 
resuttiert dann aus der GrOBe der Anwendung. Dieser 
Vorgang ist transparent fur alle Anwendungen und fest 
gesichert im Betriebssystem und gibt somit keine 
Angrrffspunkte fur eine mOgliche Manipulation. 

45 Zur Separation der Anwendungen im Speicher der 
Chipkarte lassen sich anstelle der Anwendungstabelle 
auch weitere hardwaregestutzte Mittel verwenden, die 
vorzugsweise dynamisch mit einer jeweiligen Anwen- 
dung geladen werden und die Speicherbereiche der 

so Anwendungen voneinander dynamisch abtrennen. Als 
solche Mittel kdnnen beispielsweise Registerbits, die 
den ausgewahrten Anwendungsbereich kennzeichnen 
und aktivieren, dienen. Auch kOnnen mehrere getrennte 
Speicherbereiche uber einen Selektorbaustein an den 

55 Prozessor angeschlossen werden. Die Steuerung des 
Selektors erfolgt vorzugsweise durch Setzen von 
Codierbits. Die Verwartung und Speicherung der Zuord- 
nung der Codierbits bzw. Registerbits zu einzelnen 
Anwendungen muB uber ein extra ausgewiesenes 
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Speichermedium erfolgen, ahnlich wie bei der Anwen- 
dungstabelle. Dies muB transparent fOr alle Anwendun- 
gen erfolgen. 

In einer weiteren Ausfuhrungsform der Erfindung 
erfolgt eine Separation der Anwendungen mit Hilfe 
eines Multiplexers, bzw. anderer elektronischer Schal- 
tungen, die geeignet sind, aus einer bestimmten Anzahl 
anliegender Eingangssignale jeweils ein ausgewahltes 
an den Ausgang zu schalten. Ein Prozessor einer Chip- 
karte ist hier mit einem solchen Multiplexer verbunden, 
der wiederum mit einer Vielzahl von Speicherbereichen 
verbunden ist und dynamisch uber den Multiplexer 
selektierbar sind. Die in den Speicherbereichen jeweils 
abgelegten Anwendungsprogramme kdnnen den glei- 
chen AdreBraum belegen, d.h. alle Anwendungspro- 
gramme kOnnen mit der gleichen Adresse beginnen. 
Dies erleichtert die Compilierung der Anwendungspro- 
gramme. Die Verwaltung der Anwendungsbereiche wird 
einfacher, sie kommt der Programmierung der Anwen- 
dungen auf getrennten Chipkarten naher. Der Multiple- 
xer weist vozugsweise ein Register auf, das dynamisch 
geladen werden kann und einen entsprechenden 
Bereich der Vielzahl von Speicherbereichen dem Pro- 
zessor entweder zuganglich macht oder sperrt. Diese 
Ausfuhrungsform entspricht dem Abbild von mehreren 
Chips auf einer einzigen Chipkarte, wobei der Prozes- 
sor mehrfach genutzt wird. Das Schalten zwischen den 
Speicherbereichen mittels dem Multiplexer entspricht 
dem elektronischen Herausziehen und Ersetzen einer 
jeweiligen Chipkarte bzw. Speicherkarte. 

Die Erfindung ermOglicht somit eine sichere und 
einfache Implementierung von mehreren Anwendungs- 
programmen in einer Chipkarte, ohne daB die imple- 
mentierten Anwendungsprogramme aufeinander Zugriff 
haben Oder sich gegenseitig beeinf lussen kflnnen. 

Es ist zu verstehen, daB bestimmte Ausnahmen fur 
einen Zugriff auf den Speicher oder auf bestimmte Spei- 
cherbereiche allgemein zugelassen werden kOnnen, 
z.B damit allgemeine Funktionen vom Betriebssystem 
verwendet werden durfen oder urn Daten, die nicht 
geschOtzt werden mussen zu lesen. 

Die Erfindung findet insbesondere Anwendung fur 
murtifunktionale Chipkarten, bzw. erm&glicht erst deren 
sichere Einsetzbarkeit entsprechend der vorgeschrie- 
benen Sicherheitsbedingungen. 

Weitere, vorteilhafte AusfOhrungen der Erfindung 
f inden sich in den UnteransprQchen. 

RpftChrflihuna der Zeichnunaen 

Zur ndheren Eriauterung der Erfindung sind im fol- 
genden Ausfuhrungsbeispiele mit Bezugnahme auf die 
Zeichnungen beschrieben. Funktionsgleiche Elemente 
sollen gleiche Bezugszeichen tragen. 

Fig. 1 zeigt eine erste erfindungsgemaBe Ausfuh- 
rungsform einer Chipkarte zur Aufnahme 
einer Vielzahl von Anwendungen, 



Fig. 2 



Fig. 3 



zeigt die Architektur einer weiteren Ausfflh- 
rungsform der Erfindung mit nur einem 
(gemeinsamen) Speicher und einem 
(gemeinsamen) Prozessor, 

zeigt eine erfindungsgemaB Anordnung mit 
Registerbits, dargestellt fur den Speicher 
gemaB Fig. 2, 



w Fig. 4 zeigt eine erfindungsgemaB Anordnung 
gemaB Fig. 3, wobei als erweiterten Schutz 
anstelle einer Ein-Bit-Anfbrderung eine Kom- 
bination von mehreren Bits als Anforde- 
rungskombination implementiert ist, 

15 

Fig. 5 zeigt eine weitere erfindungsgemaBe Anord- 
nung zur Trennung unterschiedlicher Anwen- 
dungsprogramme, worin ein Prozessor einer 
Chipkarte mit einem Multiplexer verbunden 
20 ist, der wiederum mit einer Vielzahl von Spei- 

cherbereichen gekoppelt ist. 

netailliftrta Beschreibu nfl der Erfindung 

25 Fig. 1 zeigt eine erste erfindungsgemaBe Ausfuh- 
rungsform einer Chipkarte 10 zur Aufnahme einer Viel- 
zahl von Anwendungen. Die Chipkarte 10 weist ein 
Kontaktfeld 20 auf, das den physischen Kontakt zur 
AuBenwert darstelH. An das Kontaktfeld 20 schlieBt sich 
30 eine Steuereinheit 30 an, die wiederum mit einer Reihe 
von unabhangigen Einheiten 40 verbunden ist. Jede 
einzelne der unabhangigen Einheiten 40 besteht aus 
einem separaten Mikroprozessor 50 und einer separa- 
ten Speichereinheit 60. Jede einzelne der unabhangi- 
35 gen Einheiten 40 stellt eine abgeschlossene 
Funktionseinheit dar. Die jeweilige Speichereinheit 60 
einer der unabhangigen Einheiten 40 ist nur uber den 
entsprechenden, dazugehdrigen Mikroprozessor 50 
zuganglich und kann mittels entsprechenden im Stand 
40 der Technik bekannten, Sicherheitsverfahren geschutzt 
werden. Ein unberechtigter Zugriff einer der unabhangi- 
gen Einheiten 40 auf eine andere der unabhangigen 
Einheiten 40, sowie eine entsprechende Beeinflussung 
untereinander kann demnach, mittels der fur Chipkar- 
45 ten bekannten Sicherheitsvorkehrungen, unterbunden 
werden. In anderen Worten entspricht jede der unab- 
hangigen Einheiten 40 funktionell einer eigenen Chip- 
karte. Jede der unabhangigen Einheiten 40 kann 
weiterhin mindestens ein Anwendungsprogramm in sei- 
50 nem Speicher 60 aufnehmen, wobei vorzugsweise jede 
der unabhangigen Einheiten 40 jeweils nur ein Anwen- 
dungsprogramm aufweist. 

Die Steuerungseinheit 30 ist vorzugsweise als ein 
elektronischer Schafter implementiert, der von dem 
55 Automaten, mit dem die Chipkarte kommuniziert, 
gesteuert wird. Dieser Schalter hat die Aufgabe die 
Datenkontakte an die ausgewahlte Anwendung in der 
entsprechenden unabhangigen Einheit umzuienken. 
Dieser Vorgang entspricht in etwadem Auswahlvorgang 



5 



9 



EP0 766 211 A2 



• 



aus mehreren Chipkarten und muB i.a. nicht gesondert 
geschOtzt werden. 

Fig. 2 zeigt die Architektur einer weiteren Ausfuh- 
rungsform der Erfindung. Im Gegensatz zu der Ausfuh- 
rungsform in Fig. 1 weist diese AusfQhrungsfbrm nur 
einen (gemeinsamen) Speicher 100 auf, der mit einem 
(gemeinsamen) Prozessorbereich 110 uber einen 
Datenbus 120 und einen AdreBbus 130 verbunden ist. 
Der in Fig. 2 exemplarisch dargestellte Prozessor 110 
weist, neben einer Reihe hier nicht dargestellter Funkti- 
onseinheiten, ein uber den Datenbus 120 mitdem Spei- 
cher 100 verbundenes Betriebssystemcode- Register 
140, das wiederum mit einer Betriebssystem-Dekodier- 
logik 150 verbunden ist, auf. Der Prozessor 110 enthait 
weiterhin eine Unterbrechungslogik 160, eine mit dem 
Datenbus 120 und dem AdreBbus 130 gekoppelte 
Nachster-Schritt-Logik 1 70 und einen Programmzahler 
180, der sowohl mit der Nachster-Schritt-Logik 170 und 
dem AdreBbus 130 gekoppelt ist, auf. Weitere funktio- 
nale Einheiten des Prozessors 110 seien der Einfach- 
heit halber hier nicht gezeigt und erwahnt. 

Weiterhin mit dem AdreBbus 130 und dem Daten- 
bus 120 verbunden, ist ein Anfangsregister 200, ein 
Endregister 210 und ein AdreBvergleicher 220. Das 
Anfangsregister 200 und das Endregister 210 sind wei- 
ter mit einer Anwendungstabelle 230 gekoppelt. Der 
AdreBvergleicher 220 ist mit einer Unterbrechungsde- 
kodier-Logik 240 verbunden, die wiederum sowohl an 
das Betriebssystemcode-Register 140, die Betriebssy- 
stem-Dekodierlogik 150 und die Unterbrechungslogik 
1 60 angekoppeft ist. 

In dem Speicher 100 seien eine Reihe von Anwen- 
dungsprogrammen 300, 310, 320 und 330 gespeichert 
Jedes der Anwendungsprogramme 300 bis 330 weist 
dabei eine Anfangsadresse A und eine Endadresse E, 
wie fur das Anwendungsprogramm 320 exemplarisch 
gezeigt, auf. In der Anwendungstabelle 230 sind diese 
Anfangs- und Endadressen der in dem Speicher 100 
gespeicherten Anwendungsprogramme 300 bis 330 mit 
einer Referenz zu dem jeweiligen Anwendungspro- 
gramm abgelegt. Wird beispielsweise das Anwen- 
dungsprogramm 320 aufgerufen, so wird die 
Anfangsadresse A des Anwendungsprogrammes 320 
aus der Anwendungstabelle 230 in das Anfangsregister 
200 und entsprechend, die Endadresse E des Anwen- 
dungsprogrammes 320 aus der Anwendungtabelle 230 
in das Endregister 210, geladen. 

Wahrend der Bearbeitung des Anwendungspro- 
grammes 320 vergleicht der AdreBvergleicher 220 die 
auf dem AdreBbus 130 fur den Speicher 100 angeleg- 
ten Adressen mit den in dem Anfangsregister 200 und 
dem Endregister 210 abgelegten Adressen. Erkenntder 
AdreBvergleicher 220 eine fur den Speicher 100 auf 
dem AdreBbus 130 angelegte Adresse, die sich auBer- 
halb des, durch die in dem Anfangsregister 200 abge- 
legt e Anfangsadresse A und die in dem Endregister 210 
abgelegte Endadresse E beschriebenen, AdreBberei- 
ches, so initiiert der AdreBvegleicher 220 ein Signal an 
die Unterbrechungsdekodier-Logik 240, das wiederum 



auf die Unterbrechungslogik 160 wirkt. Dabei ist zu ver- 
stehen, daB sowohl das auf die Unterbrechungsdeko- 
dier-Logik 240 als auch daB auf die 
Unterbrechungslogik 160 wirkende Signal ein nicht 
5 maskierbares Unterbrechungssignal darstelrt, das nicht, 
z.B. durch die Anwendung 320, unterdruckt werden 
kann. 

Vorzugsweise werden die in der Anwendungsta- 
belle 230 abgelegten Anfangs- und Endadressen der 

10 Anwendungsprogramme 300 bis 330 beim Laden der 
Anwendungsprogramme auf die Chipkarte in die 
Anwendungstabelle 230 fest eingespeichert und kOn- 
nen nicht mehr, z.B. durch eines der Anwendungspro- 
gramme 300 bis 330, verdndert werden. Dies geschieht 

is vorzugsweise durch ein Einbrennen der Adressen in 
einen Speicherbereich der Anwendungstabelle 230. 
Das Einbrennen der Adressen ist ein fest program mier- 
ter Vorgang, der nicht zuganglich ist und der immer die 
neuen Adressen als Ergebnis der Berechnungen aus 

20 der belegten Adressen schreibt. Damit wird gewahrlei- 
stet, daB keine Clberlappungen der Speicherbereiche 
mOglich sind. Dieser ProzeB ist vorzugsweise fest in das 
Betriebssystem kodiert und kann nur initiiert werden. Er 
ist vOllig transparent und nicht manipulierbar. 

25 Durch die Anwendungstabelle 230 im Zusammen- 
hang mit dem Anfangsregister 200, dem Endregister 
210 und dem AdreBvergleicher 220 wird eine sichere 
Trennung der Anwendungsprogramme 300 bis 330 
untereinander in dem Speicher 100 gewahrleistet. Die 

30 Anwendungstabelle 230 ist vorzugsweise als ein Extra- 
speicher, z.B. in einem EE PROM oder einem OT-PROM 
der Chipkarte, aufgebaut, und hat einen eigenen, 
geschutzten Zugriffsmechanismus. 

Anstelle des AdreBvergleichers 220, der die auf 

35 dem AdreBbus 130 anliegenden Adressen standig 
uberwacht, kann auch ein Dekoder verwendet werden, 
der den, durch die Anfangs- und Endregister zugelasse- 
nen, AdreBbereich dekodiert und zuiaBt. Adressen 
auBerhalb des Bereiches werden ignoriert, die Wirkung 

40 ist z.B. als ob 'ins Leere gegriffen' wird. 

Das Anfangsregister 200 und das Endregister 210 
werden bei Aufruf einer der Anwendungsprogramme 
300 bis 330 aus dem Speicher 100 mit den dazugehOri- 
gen Anfangs- und Endadressen aus der Anwendungs- 

45 tabelle 230 geladen und stellen so einen dynamischen 
Speicherschutz dar. 

Eine Trennung der in dem Speicher 100 geladenen 
Anwendungsprogramme 300 bis 330 kann weiterhin 
auch mit Hirfe von Extra-Hardwarekomponenten, z.B. in 

so Form von Registerbits, die dynamisch mit jedem der 
gespeicherten Anwendungsprogramme geladen wer- 
den, erreicht werden. Diese Extra- Registerbits kdnnen 
z.B. den ausgewdhrten Speicherbereich in dem Spei- 
cher 100 kennzeichnen und aktivieren. Dazu wird der 

55 gesamte Speicherbereich des Speichers 100, Oder ent- 
sprechend auch nur Teile davon, in BlOcke aufgeteilt, 
die jeweils einen separaten "Enable"- Oder Anforde- 
rungs-Eingang haben. Anstatt ein Aktivieren bzw. 
Deaktivieren von Speicherbereichen mrttels der Anwen- 
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dungslabelle 230 in Fig. 2, werden die entsprechenden 
Bereiche in dem Speicher 100 mit den Registerbits ent- 
weder aktiviert oder deakliviert Das Setzen der Regi- 
sterbits erfblgt vorzugsweise uber einen automatischen 
Mechanismus, der bei der Auswahi der Anwendung die 
entsprechenden Bits setzt. Die Zuordnung der Anwen- 
dung zu den Registerbits wird in einem speziell 
geschutzten Speicherbereich, entsprechend dem zur 
Anwendungstabelle gesagten, implementiert und orga- 
nisiert. Wird ein Registerbit gesetzt, kann aus dem ent- 
sprechenden Bereich in dem Speicher 100 nicht 
gelesen werden. 

Fig. 3 zeigt eine derartige Anordnung mit Register- 
bits, dargestelltfur den Speicher 100 gemaB Rg. 2. Der 
Speicher 100 ist hier entsprechend der Anwendungs- 
programme 300 bis 330 in einzetne Speicherbereiche 
aufgeteilt. Jeder der einzelnen Speicheibereiche kann 
nun mittels einer Vielzahl von Anforderungsregistern 
350 aktiviert bzw. deakliviert werden. In dem in Fig. 3 
gezeigten Beispiel sei nur der Speicherbereich fur das 
Anwendungsprogramm 320 durch das Setzen eines 
entsprechenden Registerbits in einem diesem Spei- 
cherbereich zugeordneten Anforderungsregister 360 
aktiviert. 

Bei dem Beispiel in Fig. 3 ist zu verstehen, daB die 
Anforderungsregister 350 jeweils ein gesamtes der 
Anwendungsprogramme 300 bis 330, oder auch nur 
Teilbereiche davon, aktivieren bzw. deaktivieren kann. 
Eine entsprechende Feineinteilung der Speicherberei- 
che des Speichers 100 kann je nach Anwendung erior- 
derlich sein, z.B. kann eine Anwendung mehrere Bits in 
Anspruch nehmen. Die Anzahl der Bits gibt die GrOBe 
der Anwendung an. 

Die Trennung der Anwendungprogramme in dem 
Speicher gemaB Fig. 3 ist einfach zu implemerrtieren, 
kann jedoch auch durch gewollte oder ungewollte Span- 
nungseinwirkungen, z.B. durch kurze SpannungsstO- 
rungen, verandert werden, so daB die Registerbits in 
den Anforderungsregistern 350 ungewollt 'kippen' kOn- 
nen. Anstelle von einzelnen Registerbits kOnnen des- 
halb Bitketten for die Aktivierung bzw. Deaktivierung der 
Anforderungsregister 350 verwendet werden. 

Als erweiterten Schutz kann anstelle einer Ein-Bit- 
Anforderung eine Kombi nation von mehreren Bits als 
Anforderungskombination implementiert werden. Fig. 4 
zeigt eine derartige Anordnung. Eine Anforderungs- 
kombination 400 in Rg. 4 ist uber eine Dekodierlogik 
410 mit dem Speicher 100 verbunden. Durch eine Kbm- 
bination aus Nullen und Einsen kann das Problem ver- 
mieden werden, daB die einzelnen Bits bei 
Spannungsstdrungen nicht alle auf Null bzw. auf Eins 
kippen. Die zu einer ausgewahlten Anwendung gehd- 
renden Bitketten werden beim Laden der Anwendung 
mit einem vordef inierten Muster geladen, das vorzugs- 
weise aus einer Kombination von Einsen und Nullen 
besteht. Erst das Dekodieren des richtigen Musters 
erlaubt den Zugriff. Ein solches Muster laBt sich nur 
sehr unwahrscheiniich zufailig generieren. 

Rg. 5 zeigt eine weitere erf indungsgemaBe Anord- 



nung zur Trennung unterschiedlicher Anwendungspro- 
gramme. Ein Prozessor 500 einer Chipkarte ist hier mit 
einem Multiplexer 510 verbunden, der wiederum mit 
einer vielzahl von Speicherbereichen 520, 530, 540 

5 und 550 gekoppert ist. Die einzelnen Speicherbereiche 
520 bis 550 werden bei dieser AusfOhrungsfbrm dyna- 
misch uber den Multiplexer 510 selektiert. Die in den 
Speicherbereichen 520 bis 550 jeweils abgelegten 
Anwendungsprogramme kflnnen den gleichen AdreB- 

10 raum belegen, d.h. alle Anwendungsprogramme kan- 
nen mit der gleichen Adresse beginnen. Der Multiplexer 
510 weist vorzugsweise ein Register 560 auf, das dyna- 
misch geladen werden kann und einen entsprechenden 
Bereich der Vielzahl von Speicherbereichen 520 bis 

is 550 dem Prozessor 500 entweder zuganglich macht 
oder spent Das Schalten zwischen den Speicherberei- 
chen 520 bis 550 mittels dem Multiplexer 510 entspricht 
dem elektronischen Herausziehen und Ersetzen einer 
jeweiligen Chipkarte. 



20 



25 



30 



35 



40 



Patentanspruche 

1. Datentragerkarte (10) zur Integration mehrerer 
Anwendungsprogramme mit 

einer Vielzahl zueinander unabhangiger Ein- 
heiten (40) die zumindest jeweils eine Prozes- 
soreinheit (50) und eine Speichereinheit (60) 
aufweisen; und 

einer Steuerungseinheit (30) zur Steuerung 
der einzelnen unabhangigen Einheiten (40); 

wobei eine Kommunikation der unabhangigen 
Einheiten (40) untereinander nur Ober die 
jeweiligen Prozessoreinheiten (50) durchfuhr- 
bar ist, so daB auf die angeschlossenen Spei- 
chereinheiten (60) nicht unter Umgehung der 
entsprechenden Prozessoreinheit (50) zuge- 
griffen werden kann (Fig. 1). 



2. Datentragerkarte nach Anspruch 1 , dadurch 
gekennzeichnet, daB jede einzelne der unabhangi- 
gen Einheiten (40) eine abgeschiossene Funktions- 

45 einheit darstellt, so daB die jeweilige 
Speichereinheit (60) einer der unabhangigen Ein- 
heiten (40) nur Ober die entsprechende, dazugehO- 
rige Prozessoreinheit (50) zuganglich ist, die mittels 
entsprechender Sicherhe'rtsverfahren schutzbar ist, 

so wodurch ein unberechtigter Zugriff einer der unab- 
hangigen Einheiten (40) auf eine andere der unab- 
hangigen Einheiten (40), sowie eine entsprechende 
Beeinf lussung untereinander, unterbindbar ist 

55 3. Datentragerkarte nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, daB jede der unabhangigen Ein- 
heiten (40) funktionell einer eigenen Datentrager- 
karte entspricht 
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Datentragerkarte nach Anspruch 1-3, dadurch 
gekennzeichnet, daB jede der unabhangigen Ein- 
herten (40) maximal ein Anwendungsprogramm 
aufweist. 

5 

Datentragerkarte nach Anspruch 1-4, dadurch 
gekennzeichnet, daB die SteuerungseinheH (30) 
ein eleklronischer Schalter (30) ist, der von einer 
Einheit, mitder die Datentragerkarte (10) kommuni- 
ziert, gesteuert wird, wobei der Schalter (30) die 10 
Datenkontakte an die ausgewahlte Anwendung in 
der entsprechenden unabhangigen Einheit (40) 
zuweist. 

Datentragerkarte mit einem Speicher (100), zur 15 
Aufnahme von mindestens einer Anwendung (300- 
330), und einem Prozessor (110), gekennzeichnet 
durch 

ein Mitte! zur Separation der mindestens einen 20 
Anwendung (300-330) in dem Speicher (100), 
so daB jede Anwendung nur auf einen festleg- 
baren Speicherbereich innerhalb des Spei- 
chers (100) zugreifen kann, und daB Zugriffe 
der jeweiligen Anwendung auBerhalb des fur 2s 
die jeweilige Anwendung vorgegebenen Spei- 
cherbereiches in dem Speicher (100) unter- 
bunden werden. 



Datentragerkarte nach Anspruch 6, dadurch 
gekennzeichnet, daB das Mittel zur Separation 



30 



eine Anwendungstabelle (230), die Informatio- 
nen uber eine Anfangsadresse (A) und eine 
Endadresse (E) des Speicherbereiches, in 35 
dem eine jeweilige Anwendung (320) Zugriff 
haben darf, gespeichert hat; und 

ein AdreBuberwachungsmittel (220) aufweist, 
das die auf einem AdreBbus (130) angelegten 40 
Adressen daraufhin uberwacht, ob sich diese 
angel egt en Adressen innerhalb eines, durch 
die Anfangsadresse (A) und die Endadresse 
(E) der jeweiligen Anwendung definierten, 
Speicherbereiches (A bis E) der Anwendung 45 
(320) in dem Speicher (100) befindet, und eine 
entsprechende MaBnahme einleitet, wenn sich 
eine der auf dem AdreBbus (130) angelegten 
Adressen nicht innerhalb des Speicherberei- 
ches (A bis E) der Anwendung (320) in dem so 
Speicher (100) befindet. 

8. Datentragerkarte nach Anspruch 7, dadurch 
gekennzeichnet, daB das AdreBuberwachungsmit- 

te! (220) einen AdreB-Dekodierer aufweist, der den 55 
Bereich dekodiert und zuiaSt, wobei Adressen 
auBerhalb des AdreBbereiches ignoriert werden. 

9. Datentragerkarte nach Anspruch 7, dadurch 



gekennzeichnet, daB das AdreBOberwachungsmit- 
tel (220) 

ein Anfangsregister (200) zur Aufnahme der 
Anfangsadresse (A) des Speicherbereiches in 
dem die jeweilige Anwendung (230) Zugriff 
haben darf; 

ein Endregister (200) zur Aufnahme der End- 
adresse (E) des Speicherbereiches in dem die 
jeweilige Anwendung (230) Zugriff haben darf; 

einen AdreBvergleicher (220), der die auf dem 
AdreBbus (130) angelegten Adressen mit den 
in dem Anfangsregister (200) und dem Endre- 
gister (210) abgelegten Adressen (A und E) 
vergleicht, und 

ein Oberwachungsmittel (240), das signalisiert, 
wenn eine der angelegten Adressen sich nicht 
innerhalb des, durch die in dem Anfangsregi- 
ster (200) und dem Endregister (210) abgeleg- 
ten Adressen (A und E) definierten 
AdreBbereiches (A bis E) der Anwendung 
(320) in dem Speicher (100) befindet, aufweist 
(Fig. 2). 

10. Datentragerkarte nach Anspruch 6, dadurch 
gekennzeichnet, daB das Mittel zur Separation eine 
Vielzahl von Registermitteln (350) aufweist, die 
einen ausgewahften Speicherbereich in dem Spei- 
cher (100) kennzeichnen und den Speicherbereich 
aktivieren oder deakth/ieren kOnnen (Fig. 3). 

11. Datentragerkarte nach Anspruch 10, dadurch 
gekennzeichnet, daB mindestens eines der Viel- 
zahl von Registermitteln (350) ein Anforderungs- 
kombinationsmtttel (400) und eine Dekodierlogik 
(410) aufweist (Fig. 4). 

12. Datentragerkarte nach Anspruch 6, dadurch 
gekennzeichnet, daB das Mittel zur Separation 
einen Multiplexer (510) aufweist, der mit einer Viel- 
zahl von Speicherbereichen (520, 530, 540, 550) 
verbunden ist, wobei die einzelnen Speicherberei- 
che (520, 530, 540, 550) dynamisch Ober den Mul- 
tiplexer (510) selektierbar sind (Fig. 5). 

13. Datentragerkarte nach Anspruch 12, dadurch 
gekennzeichnet, daB in den Speicherbereichen 
(520, 530, 540, 550) jeweils abgelegte Anwen- 
dungsprogramme den gleichen AdreBraum bele- 
gen, so daB diese Anwendungsprogramme mit der 
jeweils gleichen Anfangsadresse beginnen. 

14. Datentragerkarte nach Anspruch 12 Oder 13, 
dadurch gekennzeichnet, daB der Multiplexer (510) 
ein Register (560) aufweist, das dynamisch gela- 
den werden kann und einen entsprechenden 
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Bereich der Vielzahl von Speicherbereichen (520- 
550) dem Prozessor (500) errtweder zuganglich 
macht oder sperrt. 

15. Verfahren zur Oberwachung des Zugriffes einer s 
Anwendung (320) gespeichert in einem Speicher 
(100) in einer Datentragerkarte, mit 

einem Vergleichen der auf einem AdreBbus 
(130) der Datentragerkarte angelegten Adres- to 
sen mit einem vorgegebenen AdreBbereich (A 
bis E) der Anwendung (320) in dem Speicher 
(100); und 

einem Signalisieren, wenn eine der angelegten 15 
Adressen mit dem vorgegebenen AdreBbe- 
reich (A bis E) der Anwendung (320) in dem 
Speicher (100) nicht ubereinstimmt. 

16. Verfahren nach Anspruch 15, wobei ein nicht-mas- 20 
kierbares Unterbrechungssignal ausgeldst wird, 
wenn eine der angelegten Adressen mit dem vor- 
gegebenen AdreBbereich (A bis E) der Anwendung 
(320) in dem Speicher (100) nicht Qbereinstimmt. 

25 

17. Verfahren nach Anspruch 16, wobei ein laufendes 
Programm der Anwendung und dessen AusfOhrung 
unterbrochen wird und/oder die Datentragerkarte 
gesperrt wird und/oder die Anwendung ruckgesetzt 
wird. 30 

18. Verfahren nach Anspruch 15-17, wobei vermerkt 
wird, welche Anwendung versucht hatte auf Adres- 
sen auBerhalb des fur sie vorgesehenen Bereiches 
zuzugreifen. 35 

19. Verfahren nach Anspruch 15, wobei der Speicher- 
bereich auBerhalb desfOr die Anwendung vorgese- 
henen Bereiches gesperrt wird. so daB ein Zugriff 
hierauf nicht erfblgreich ist, wenn eine der angeleg- 40 
ten Adressen mit dem vorgegebenen AdreBbereich 

(A bis E) der Anwendung (320) in dem Speicher 
(100) nicht Qbereinstimmt 

20. Verfahren nach Anspruch 19, wobei der Zugriff auf 45 
den gesperrten Bereich eine Nullen- Oder Einsen- 
Kette liefert, die keinen Bezug zu dem tatsachlichen 
Inhalt dieses Bereiches aufweist. 

21. Verfahren nach Anspruch 15-20, wobei bei Aufruf so 
der Anwendung (320) 

- eine Anfangsadresse (A) der Anwendung (320) 
in ein Anfangsregister (200) und eine End- 
adresse (E) der Anwendung (320) in ein Endre- ss 
gister (210) geladen wird, 

- wahrend der Bearbeitung der Anwendung 
(320) ein AdreBvergleicher (220) die auf dem 



AdreBbus (130) fQr den Speicher (100) ange- 
legten Adressen mit den in dem Anfangsregi- 
ster (200) und dem Endregister (210) 
abgelegten Adressen vergleicht, und, 

- wenn der AdreBvergleicher (220) eine fur den 
Speicher (100) auf dem AdreBbus (130) ange- 
legte Adresse erkennt, die sich auBerhalb des, 
durch die in dem Anfangsregister (200) abge- 
legte Anfangsadresse (A) und die in dem 
Endregister (210) abgelegte Endadresse (E) 
beschriebenen, AdreBbereiches befindet, 

- der AdreBvergleicher (220) ein nicht-maskier- 
bares Unterbrechungssignal initiiert, das nicht 
durch die Anwendung (320) unterdruckt wer- 
den kann. 

22. Verfahren nach Anspruch 21, wobei die Anfangs- 
adresse (A) und die Endadresse (E) der Anwen- 
dung (320) aus einer Anwendungstabelle (230) 
geladen werden. 

23. Verfahren nach Anspruch 22, wobei die Anfangs- 
adresse (A) und die Endadresse (E) der Anwen- 
dung (320) in die Anwendungstabelle (230) fest 
eingespeichert wurden, so daB diese nicht mehr 
verandert werden kOnnen. 

24. Verfahren nach Anspruch 22 Oder 23. wobei die 
Anfangsadresse (A) und die Endadresse (E) der 
Anwendung (320) in die Anwendungstabelle (230) 
bei einem ersten Speichern der Anwendung (230) 
in dem Speicher (100) eingebrannt werden. 

25. Verfahren nach Anspruch 15-20, wobei bei Aufruf 
der Anwendung (320) 

- entsprechende, den vorgegebenen AdreBbe- 
reich (A bis E) der Anwendung (320) kenn- 
zeichnende Registermittel geladen werden, 

- die geladenen Registermittel den vorgegebe- 
nen AdreBbereich (A bis E) der Anwendung 
(320) aktivieren, wahrend andere AdreBberei- 
che des Speichers (100) deakliviert bleiben, so 
daB ein Zugriff der Anwendung (230) nur auf 
die aktivierten AdreBbereiche ermGglicht wird. 

26. Verfahren nach Anspruch 15-20. wobei bei Aufruf 
der Anwendung 

- ein Multiplexer (510) der Anwendung einen 
entsprechenden, vorgegebenen Speicherbe- 
reich (520-540) zuteilt. 

27. Verwendung des Verfahrens oder der Datentrager- 
karte entsprechend einem der vorstehenden 
AnsprOchen in Chipkarten. 



9 



EP0 766 211 A2 




40 



20 



FIG. 1 V_ 



o 
o 



30 



o 
o 
o 



r 



350 



300 



100 



260 



310 



320 



330 



FIG. 3 



o 
o 
o 



o 
o 
o 



100 



FIG. 4 



"C-400 ^-^410 



10 



EP0 766 211 A2 



8 



5 



8 



o 



























s 

1 



? 

a. 



8 



O 
CO 



CO 



8 

CO 



o o o 



CM 
O 




11 



EP0 766 211 A2 




12 



